安全组策略管理方法、装置、设备及计算机可读存储介质与流程

本发明涉及金融科技(fintech)的网络安全领域，尤其涉及一种安全组策略管理方法、装置、设备及计算机可读存储介质。

背景技术：

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(fintech)转变，但由于金融行业的安全性、实时性要求，也对技术提出了更高的要求

云服务平台是一种新的企业信息化服务模式和管理方式，能够把海量的、高度虚拟化的企业资源和应用管理起来，组成一个集资源池、企业应用为一体的统一服务。

银行等金融机构的云服务平台上的安全组是基于本地防火墙实现的，其使用与传统的网络层防火墙有本质的区别，且其中的策略与云主机的对应关系极其复杂，随着时间推移，伴随着越来越多的新系统上线，云上就会有越来越多的安全组策略。鉴于安全组策略能够直接影响企业公有云的网络安全，因此安全组策略的合格性就极其重要。现有的对安全组策略的合规性的审计是通过人工逐条审核的，面对海量的安全组策略，无法对安全组策略的合规性做出全面的、自动化的审计。显然面对与云主机具有复杂对应关系的安全组策略，现有的安全组策略审计方案无法做到对越来越多的安全组策略的自动化审计，这种情况不符合银行等金融机构的业务需求，影响银行等金融机构对各种业务平台(如开发贷款业务平台、存款业务平台等)的安全组策略管理。

技术实现要素：

本发明的主要目的在于提供一种安全组策略管理方法、装置、设备及可读存储介质，旨在解决现有技术无法对安全组策略的合规性做出全面的自动化审计的技术问题。

为实现上述目的，本发明提供一种安全组策略管理方法，所述安全组策略管理方法包括以下步骤：

根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；

根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；

若所述安全组策略违规，则对所述安全组策略进行安全管控。

可选地，所述根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域的步骤之前，还包括：

判断所述安全组策略是否在白名单中；

若所述安全组策略不在白名单中，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域。

可选地，所述根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域的步骤之前，还包括：

根据所述安全组策略中的源ip和目标ip是否存在于下线ip库中判断所述安全组策略中是否包括下线ip；

若所述安全组策略中不包括下线ip，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域；

若所述安全组策略中包括下线ip，则将所述安全组策略下线。

可选地，所述根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规的步骤包括：

若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略不违规；

若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略违规。

可选地，所述若所述安全组策略违规，则对所述安全组策略进行安全管控的步骤包括：

若所述安全组策略违规，则将所述安全组策略加入违规策略告警表；

对所述违规策略告警表中的安全组策略进行去重；

对去重后的违规策略告警表中的安全组策略进行安全管控。

可选地，所述对去重后的违规策略告警表中的安全组策略进行安全管控的步骤包括：

将所述去重后的违规策略告警表发送给预设管控终端；

在接收到所述预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作，所述安全管控内容包括将所述安全组策略加入白名单、将所述安全组策略挂起或者对所述安全组策略提起it服务管理itsm工单。

可选地，所述根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作的步骤之后，还包括：

按照预设统计频率对违规策略告警表中的安全组策略的安全管控情况进行统计，得到管控完成率和管控及时率，所述违规策略告警表中已进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控完成率，所述违规策略告警表中在预设时长内进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控及时率；

将所述管控完成率和管控及时率发送至预设检阅终端，以供检阅。

进一步地，为实现上述目的，本发明还提供一种安全组策略管理装置，所述安全组策略管理装置包括：

匹配模块，用于根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；

判断模块，用于根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；

管控模块，用于若所述安全组策略违规，则对所述安全组策略进行安全管控。

可选地，所述安全组策略管理装置还包括：

白名单判断模块，用于判断所述安全组策略是否在白名单中；

所述匹配模块还用于若所述安全组策略不在白名单中，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域。

可选地，所述安全组策略管理装置还包括：

ip判断模块，用于根据所述安全组策略中的源ip和目标ip是否存在于下线ip库中判断所述安全组策略中是否包括下线ip；

所述匹配模块还用于若所述安全组策略中不包括下线ip，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域；

下线模块，用于若所述安全组策略中包括下线ip，则将所述安全组策略下线。

可选地，所述判断模块还包括：

合规判定单元，用于若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略不违规；

违规判定单元，用于若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略违规。

可选地，所述管控模块还包括：

告警加入单元，用于若所述安全组策略违规，则将所述安全组策略加入违规策略告警表；

去重单元，用于对所述违规策略告警表中的安全组策略进行去重；

去重管控单元，用于对去重后的违规策略告警表中的安全组策略进行安全管控。

可选地，所述去重管控单元还包括：

发送子单元，用于将所述去重后的违规策略告警表发送给预设管控终端；

执行子单元，用于在接收到所述预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作，所述安全管控内容包括将所述安全组策略加入白名单、将所述安全组策略挂起或者对所述安全组策略提起it服务管理itsm工单。

可选地，所述安全组策略管理装置还包括：

统计模块，用于按照预设统计频率对违规策略告警表中的安全组策略的安全管控情况进行统计，得到管控完成率和管控及时率，所述违规策略告警表中已进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控完成率，所述违规策略告警表中在预设时长内进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控及时率；

检阅模块，用于将所述管控完成率和管控及时率发送至预设检阅终端，以供检阅。

进一步地，为实现上述目的，本发明还提供一种安全组策略管理设备，所述安全组策略管理设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的安全组策略管理程序，所述安全组策略管理程序被所述处理器执行时实现如上述所述的安全组策略管理方法的步骤。

进一步地，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有安全组策略管理程序，所述安全组策略管理程序被处理器执行时实现如上所述的安全组策略管理方法的步骤。

本发明通过根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；若所述安全组策略违规，则对所述安全组策略进行安全管控。实现了自动根据安全组策略中的源ip、目标ip所属的区域和预设审计规则判断安全组策略是否违规，从而在安全组策略违规时自动对该安全组策略提起安全管控，进而实现了对安全组策略的自动化审计，提升了安全组策略的审计效率，从而能够对海量的安全组策略进行全面的审计。

附图说明

图1为本发明安全组策略管理设备实施例方案涉及的设备硬件运行环境的结构示意图；

图2为本发明安全组策略管理方法第一实施例的流程示意图；

图3为本发明安全组策略管理装置的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

需要说明的是，银行等金融机构的云服务平台上的安全组是基于本地防火墙实现的，其使用与传统的网络层防火墙有本质的区别，且其中的策略与云主机的对应关系极其复杂，随着时间推移，伴随着越来越多的新系统上线，云上就会有越来越多的安全组策略。鉴于安全组策略能够直接影响企业公有云的网络安全，因此安全组策略的合格性就极其重要。现有的对安全组策略的合规性的审计是通过人工逐条审核的，面对海量的安全组策略，无法对安全组策略的合规性做出全面的、自动化的审计。显然面对与云主机具有复杂对应关系的安全组策略，现有的安全组策略审计方案无法做到对越来越多的安全组策略的自动化审计，这种情况不符合银行等金融机构的业务需求，影响银行等金融机构对各种业务平台(如开发贷款业务平台、存款业务平台等)的安全组策略管理。

基于上述缺陷，本发明提供一种安全组策略管理设备，参照图1，图1为本发明安全组策略管理设备实施例方案涉及的设备硬件运行环境的结构示意图。

如图1所示，该安全组策略管理设备可以包括：处理器1001，例如cpu，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。

本领域技术人员可以理解，图1中示出的安全组策略管理设备的硬件结构并不构成对安全组策略管理设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及安全组策略管理程序。其中，操作系统是管理和控制安全组策略管理设备与软件资源的程序，支持网络通信模块、用户接口模块、安全组策略管理程序以及其他程序或软件的运行；网络通信模块用于管理和控制网络接口1004；用户接口模块用于管理和控制用户接口1003。

在图1所示的安全组策略管理设备硬件结构中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；处理器1001可以调用存储器1005中中存储的安全组策略管理程序，并执行以下操作：

根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；

根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；

若所述安全组策略违规，则对所述安全组策略进行安全管控。

进一步地，所述根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域的步骤之前，处理器1001还用于调用存储器1005中存储的安全组策略管理程序，并执行以下操作：

判断所述安全组策略是否在白名单中；

若所述安全组策略不在白名单中，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域。

进一步地，所述根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域的步骤之前，处理器1001还用于调用存储器1005中存储的安全组策略管理程序，并执行以下操作：

根据所述安全组策略中的源ip和目标ip是否存在于下线ip库中判断所述安全组策略中是否包括下线ip；

若所述安全组策略中不包括下线ip，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域；

若所述安全组策略中包括下线ip，则将所述安全组策略下线。

进一步地，所述根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规的步骤包括：

若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略不违规；

若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略违规。

进一步地，所述若所述安全组策略违规，则对所述安全组策略进行安全管控的步骤包括：

若所述安全组策略违规，则将所述安全组策略加入违规策略告警表；

对所述违规策略告警表中的安全组策略进行去重；

对去重后的违规策略告警表中的安全组策略进行安全管控。

进一步地，所述对去重后的违规策略告警表中的安全组策略进行安全管控的步骤包括：

将所述去重后的违规策略告警表发送给预设管控终端；

在接收到所述预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作，所述安全管控内容包括将所述安全组策略加入白名单、将所述安全组策略挂起或者对所述安全组策略提起it服务管理itsm工单。

进一步地，所述根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作的步骤之后，处理器1001还用于调用存储器1005中存储的安全组策略管理程序，并执行以下操作：

按照预设统计频率对违规策略告警表中的安全组策略的安全管控情况进行统计，得到管控完成率和管控及时率，所述违规策略告警表中已进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控完成率，所述违规策略告警表中在预设时长内进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控及时率；

将所述管控完成率和管控及时率发送至预设检阅终端，以供检阅。

本发明安全组策略管理设备的具体实施方式与下述安全组策略管理方法各实施例基本相同，在此不再赘述。

本发明还提供一种安全组策略管理方法。

本发明实施例提供了安全组策略管理方法的实施例，需要说明的是，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在安全组策略管理方法的各个实施例中，为了便于描述，省略执行主体进行阐述各个实施例。参照图2，图2为本发明安全组策略管理方法第一实施例的流程示意图，所述安全组策略管理方法包括：

步骤s10，根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；

银行等金融机构的云服务平台上的安全组是基于本地防火墙实现的，其使用与传统的网络层防火墙有本质的区别，且其中的策略与云主机的对应关系极其复杂，随着时间推移，伴随着越来越多的新系统上线，云上就会有越来越多的安全组策略。鉴于安全组策略能够直接影响企业公有云的网络安全，因此安全组策略的合格性就极其重要。现有的对安全组策略的合规性的审计是通过人工逐条审核的，面对海量的安全组策略，无法对安全组策略的合规性做出全面的自动化审计。显然面对与云主机具有复杂对应关系的安全组策略，现有的安全组策略审计方案无法做到对越来越多的安全组策略的自动化审计，这种情况不符合银行等金融机构的业务需求，影响银行等金融机构对各种业务平台(如开发贷款业务平台、存款业务平台等)的安全组策略管理。基于此，提出本发明的技术方案。

在本发明实施例中，要对安全组策略进行全面的自动化管理，安全组策略管理装置首先需要根据预设区域映射关系为所有的安全组策略中的源ip和目标ip匹配其所对应的区域，将源ip所对应的区域定义为源区域，将目标ip所对应的区域定义为目标区域。其中，预设区域映射关系指的是管理人员根据需要(例如企业内部的网络划分)为ip地址划分的预设区域(例如生产区域、管理区域、开发区域等)，每个区域为一系列ip地址的集合，每个ip都有唯一对应的区域。

进一步地，为了提高安全组策略管理的灵活性，减轻安全组策略管理装置的运算压力，本实施例中，在步骤s10之前还可以包括对安全组策略进行白名单过滤的步骤，即：判断所述安全组策略是否在白名单中，所述白名单中存储有预设开通策略名单；若所述安全组策略不在白名单中，则执行步骤s10。即，安全组策略管理装置在获取所有安全组策略后，可先判断安全组策略是否命中白名单中的预设开通策略名单，该预设开通策略名单是管理人员根据需要自定义的必须开通的安全组策略名单，若安全组策略命中白名单中的预设开通策略名单，即安全组策略在白名单中，则不对该策略进行后续的安全组策略管理操作；若安全组策略未命中白名单中的预设开通策略名单，即安全组策略不在白名单中，则对该策略进行区域匹配操作。

进一步地，为了提高安全组策略管理的灵活性，减轻安全组策略管理装置的运算压力，本实施例中，在步骤s10之前还可以包括对安全组策略进行下线ip过滤的步骤，即：根据所述安全组策略中的源ip和目标ip是否存在于下线ip库中判断所述安全组策略中是否包括下线ip；若所述安全组策略中不包括下线ip，则执行步骤s10；若所述安全组策略中包括下线ip，则将所述安全组策略下线。其中，下线ip为已停止使用的ip。需要说明的是，对安全组策略进行下线ip过滤的步骤可以在对安全组策略进行白名单过滤的步骤之前或之后，本实施例不做具体限定。

安全组策略，指的是对源ip和目标ip的入和/或出流量控制。

在本实施例中，以上安全组策略管理装置对安全组策略进行白名单过滤和下线ip过滤的方案可以择其一实施，也可以组合在一起实施，本实施例不做限制。

步骤s20，根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；

在本实施例中，在安全组策略管理装置为所有的安全组策略中的源ip和目标ip匹配对应的源区域和目标区域后，根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规，具体地：若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略不违规；若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略违规。

步骤s30，若所述安全组策略违规，则对所述安全组策略进行安全管控。

在本实施例中，在安全组策略管理装置判定所述安全组策略违规后，对所述安全组策略进行安全管控，具体地：若所述安全组策略违规，则将所述安全组策略加入违规策略告警表；对所述违规策略告警表中的安全组策略进行去重；将去重后的违规策略告警表发送给预设管控终端；在接收到所述预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作，所述安全管控内容包括但不限于将所述安全组策略加入白名单、将所述安全组策略挂起或者对所述安全组策略提起itsm工单中的一种。

本实施例通过根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；若所述安全组策略违规，则对所述安全组策略进行安全管控。实现了自动根据安全组策略中的源ip、目标ip所属的区域和预设审计规则判断安全组策略是否违规，从而在安全组策略违规时自动对该安全组策略提起安全管控，进而实现了对安全组策略的自动化审计，提升了安全组策略的审计效率，从而能够对海量的安全组策略进行全面的审计。

进一步地，提出本发明安全组策略管理方法第二实施例，上述步骤s10之前还包括：

步骤s11，判断所述安全组策略是否在白名单中；

若所述安全组策略不在白名单中，则执行步骤s10。

为了提高安全组策略管理的灵活性，减轻安全组策略管理装置的运算压力。在本实施例中，在步骤s11之前还包括对白名单的设置步骤，运维人员为因为特殊原因必须开通，无需进行安全审计的安全组策略而创建的策略名单，即为白名单，具体原因本实施例不做限定。在对安全组策略进行违规审计之前，先判断该策略是否在白名单中，若该策略不在白名单中，则对该策略进行违规审计，即执行步骤s10；若该策略在白名单中，则可为该条策略添加白名单标记位，对此类添加有白名单标记位的安全组策略不进行违规审计，以此减轻安全组策略管理装置的运算压力。

进一步地，上述步骤s10之前还包括：

步骤s12，根据所述安全组策略中的源ip和目标ip是否存在于下线ip库中判断所述安全组策略中是否包括下线ip；

步骤s13，若所述安全组策略中包括下线ip，则将所述安全组策略下线；

若所述安全组策略中不包括下线ip，则执行步骤s10。

为了提高安全组策略管理的灵活性，减轻安全组策略管理装置的运算压力。在本实施例中，在步骤s12之前还包括对下线ip库的设置和更新步骤，下线ip库中存储有已停止使用的ip地址，该下线ip库按照预设频率或者在更新的ip地址数量大于预设阈值时更新，本实施例不做具体限制。在本实施例中，先判断该安全组策略中的源ip和目标ip是否在下线ip库中，若该策略不在下线ip库中，说明该策略中的ip都为有效ip，则可对该策略进行违规审计，即执行步骤s10；若该策略中的源ip和目标ip中的一个或者两个在下线ip库中，说明说明该策略中的ip包括已停止使用的ip地址，则将该策略下线。

需要说明的是，对安全组策略进行下线ip过滤的步骤可以在对安全组策略进行白名单过滤的步骤之前或之后，本实施例不做具体限定。

进一步地，上述步骤s20包括：

步骤s21，若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略不违规；

在本实施例中，在步骤s21之前还包括对预设审计规则的设置步骤，运维人员根据企业内部制度、网络安全规范等内容设置预设审计规则。预设审计规则是对预设区域映射关系中的预设区域之间互相访问的权限的设置，是以预设区域为核心的，预设审计规则中包括源区域和与之对应的、该源区域不能访问的预设目标区域。

在安全组策略管理装置为所有的安全组策略中的源ip和目标ip匹配对应的源区域和目标区域后，根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规，即，判断所述预设审计规则中是否包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域。若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，所述预设审计规则中包括所述源区域和所述目标区域，但在所述预设审计规则中与所述源区域相对应的该源区域不能访问的预设目标区域中不包括所述目标区域，则判定所述安全组策略不违规。

步骤s22，若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略违规。

在本实施例中，若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的该源区域不能访问的预设目标区域中包括所述目标区域，则判定所述安全组策略违规。

进一步地，为了增加判断安全组策略是否违规的方法的灵活性，上述步骤s20还可以包括：若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略违规；若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略不违规。这种情况下，预设审计规则中包括源区域和与之对应的、该源区域能访问的预设目标区域。

本实施例通过白名单过滤和下线ip过滤能够过滤掉不需要进行违规审计的安全组策略，减少需要进行违规审计的安全组策略数量，从而减轻安全组策略管理装置的运算压力，进而提升违规审计的效率；根据安全组策略的源区域、目标区域以及预设审计规则自动确定安全组策略是否违规，实现了对安全组策略的自动化审计，提升了安全组策略的审计效率。

进一步地，提出本发明安全组策略管理方法第三实施例，上述步骤s30包括：

步骤s31，若所述安全组策略违规，则将所述安全组策略加入违规策略告警表；

在本实施例中，若判定该安全组策略违规，则将该安全组策略加入违规策略告警表中，该违规策略告警表中存储有本次违规审计中被判定违规的安全组策略，以及历史违规审计中被判定违规，且尚未进行安全管控的安全组策略。

步骤s32，对所述违规策略告警表中的安全组策略进行去重；

对于海量的安全组策略，其中或多或少会有重复的安全组策略，违规的安全组策略也难免重复，若对所有违规的安全组策略都进行安全管控，重复的安全管控会造成不必要的资源浪费，也会增大安全组策略管理装置的运算压力。基于此，提出本实施例的技术方案。

在本发明实施例中，为避免重复的安全管控，对违规策略告警表中的安全组策略进行哈希运算得到对应的哈希值，根据所述违规策略告警表中是否有与当前哈希值相同的值判断是否有重复的安全组策略；若有，则仅保留重复的安全组策略中的一条。其中，进行哈希运算的哈希函数包括但不限于安全散列算法sha系列(例如sha-1、sha-256、sha-384等)、消息摘要算法md系列(例如md2、md3、md4、md5等)或者高级加密标准aes等哈希函数中的一种或多种，本实施例不做具体限制。

步骤s33，对去重后的违规策略告警表中的安全组策略进行安全管控。

在对违规策略告警表中的安全组策略去重之后，对去重后的违规策略告警表中的安全组策略进行安全管控。

进一步地，上述步骤s33包括：

步骤s331，将所述去重后的违规策略告警表发送给预设管控终端；

步骤s332，在接收到所述预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作，所述安全管控内容包括将所述安全组策略加入白名单、将所述安全组策略挂起或者对所述安全组策略提起itsm工单。

在本实施例中，对违规策略告警表中的安全组策略去重后，将所述去重后的违规策略告警表发送给预设管控终端，以使预设管控终端的管理人员根据违规策略的具体类型确定具体地管控操作，并向安全组策略管理装置发送安全管控指令，该安全管控指令中包括具体地安全管控内容，安全组策略管理装置在接收到预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作。

其中，所述安全管控内容包括将安全组策略加入白名单、将安全组策略挂起或者对安全组策略提起itsm(it服务管理)工单。具体地，若预设管控终端的管理人员确定当前违规安全组策略存在特殊原因必须开通，可将该违规安全组策略开通，并加入白名单；预设管控终端的管理人员将违规但短期无法解决的安全组策略挂起；安全组策略管理可与itsm平台对接，预设管控终端的管理人员将违规且必须处理的安全组策略通过与itsm平台对接接口提起itsm工单。

进一步地，上述步骤s332之后还包括：

按照预设统计频率对违规策略告警表中的安全组策略的安全管控情况进行统计，得到管控完成率和管控及时率，所述违规策略告警表中已进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控完成率，所述违规策略告警表中在预设时长内进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控及时率；将所述管控完成率和管控及时率发送至预设检阅终端，以供检阅。

本实施例通过对违规策略告警表中的安全组策略去重，再对去重后违规策略告警表中的安全组策略进行安全管控，能够避免不必要的资源浪费，也减轻了安全组策略管理装置的运算压力；对违规的安全组策略进行相应的安全管控，能够实现从违规安全组策略的审计到处理的运营闭环，进而实现更加完善的安全组策略管理流程。

本发明还提供一种安全组策略管理装置。

参照图3，图3为本发明安全组策略管理装置第一实施例的功能模块示意图，所述安全组策略管理装置包括：

匹配模块10，用于根据预设区域映射关系为安全组策略中的源ip匹配相应的源区域，和目标ip匹配相应的目标区域；

判断模块20，用于根据预设审计规则、所述源区域和目标区域判断所述安全组策略是否违规；

管控模块30，用于若所述安全组策略违规，则对所述安全组策略进行安全管控。

进一步地，所述安全组策略管理装置还包括：

白名单判断模块，用于判断所述安全组策略是否在白名单中；

所述匹配模块10还用于若所述安全组策略不在白名单中，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域。

进一步地，所述安全组策略管理装置还包括：

ip判断模块，用于根据所述安全组策略中的源ip和目标ip是否存在于下线ip库中判断所述安全组策略中是否包括下线ip；

所述匹配模块10还用于若所述安全组策略中不包括下线ip，则执行步骤：根据预设区域映射关系为安全组策略中的源ip和目标ip匹配相应的所属区域；

下线模块，用于若所述安全组策略中包括下线ip，则将所述安全组策略下线。

进一步地，所述判断模块20还包括：

合规判定单元，用于若所述预设审计规则中不包括所述源区域，或者所述预设审计规则中不包括所述目标区域，或者，在所述预设审计规则中与所述源区域相对应的预设目标区域不包括所述目标区域，则判定所述安全组策略不违规；

违规判定单元，用于若所述预设审计规则中包括所述源区域和所述目标区域，且在所述预设审计规则中与所述源区域相对应的预设目标区域包括所述目标区域，则判定所述安全组策略违规。

进一步地，所述管控模块30还包括：

告警加入单元，用于若所述安全组策略违规，则将所述安全组策略加入违规策略告警表；

去重单元，用于对所述违规策略告警表中的安全组策略进行去重；

去重管控单元，用于对去重后的违规策略告警表中的安全组策略进行安全管控。

进一步地，所述去重管控单元还包括：

发送子单元，用于将所述去重后的违规策略告警表发送给预设管控终端；

执行子单元，用于在接收到所述预设管控终端发送的安全管控指令时，根据所述安全管控指令携带的安全管控内容执行相应的安全管控操作，所述安全管控内容包括将所述安全组策略加入白名单、将所述安全组策略挂起或者对所述安全组策略提起it服务管理itsm工单。

进一步地，所述安全组策略管理装置还包括：

统计模块，用于按照预设统计频率对违规策略告警表中的安全组策略的安全管控情况进行统计，得到管控完成率和管控及时率，所述违规策略告警表中已进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控完成率，所述违规策略告警表中在预设时长内进行安全管控的安全组策略的数量除以所述违规策略告警表中的安全组策略的总数为所述管控及时率；

检阅模块，用于将所述管控完成率和管控及时率发送至预设检阅终端，以供检阅。

本发明安全组策略管理装置具体实施方式与上述安全组策略管理方法各实施例基本相同，在此不再赘述。

此外，本发明实施例还提出一种计算机可读存储介质。

计算机可读存储介质上存储有安全组策略管理程序，安全组策略管理程序被处理器执行时实现如上所述的安全组策略管理方法的步骤。

本发明可读存储介质具体实施方式与上述安全组策略管理方法各实施例基本相同，在此不再赘述。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，这些均属于本发明的保护之内。